Статус документа
В этом документе содержится спецификация протокола, предложенного сообществу Internet. Документ служит приглашением к дискуссии в целях развития и совершенствования протокола. Текущее состояние стандартизации протокола вы можете узнать из документа "Internet Official Protocol Standards" (STD 1). Документ может распространяться без ограничений.
Тезисы
Протокол SSH (Secure Shell) используется для организации безопасного входа в удаленную систему (login) и организации иных безопасных служб через сети, не обеспечивающие безопасности. В данном документе описана архитектура протокола SSH, а также нотация и терминология, используемые в документах, посвященных протоколу SSH. Описывается также алгоритм именования SSH, поддерживающий локализованные расширения.
Протокол SSH состоит из трех основных компонент. Протокол транспортного уровня (Transport Layer Protocol) обеспечивает аутентификацию серверов, конфиденциальность и целостность и высоким уровнем защищенности. Протокол аутентификации пользователей (User Authentication Protocol) используется на серверах для проверки полномочий клиентов. Протокол соединений (Connection Protocol) обеспечивает мультиплексирование шифрованного туннеля в несколько логических каналов. Детальные описания каждого из этих протоколов содержатся в отдельных документах.
Оглавление
- 1. Введение
- 2. Разработчики
- 3. Используемые в документе соглашения
- 4. Архитектура
- 4.1. Ключи хостов
- 4.2. Возможности расширения
- 4.3. Политика
- 4.4. Параметры безопасности
- 4.5. Локализация и поддержка различных наборов символов
- 5. Представление типов данных, используемых в протоколах SSH
- 6. Имена алгоритмов и методов
- 7. Номера сообщений
- 8. Согласование с IANA
- 9. Вопросы безопасности
- 9.1. Генерация псевдослучайных чисел
- 9.2. Фильтрация управляющих символов
- 9.3. Транспорт
- 9.3.1. Конфиденциальность
- 9.3.2. Целостность данных
- 9.3.3. Использование перехваченных данных (Replay)
- 9.3.4. Перехват с участием человека (Man-in-the-middle)
- 9.3.5. DoS-атаки
- 9.3.6. Скрытые каналы
- 9.3.7. Сохранность тайн
- 9.3.8. Упорядочивание методов обмена ключами
- 9.3.9. Анализ трафика
- 9.4. Протокол аутентификации
- 9.4.1. Проблема небезопасного транспорта
- 9.4.2. Отладочные сообщения
- 9.4.3. Локальная политика безопасности
- 9.4.4 Аутентификация с использованием открытых ключей
- 9.4.5. Парольная аутентификация
- 9.4.6. Аутентификация по хостам
- 9.5. Протокол соединений
- 9.5.1. Безопасность конечных точек
- 9.5.2. Перенаправление
- 9.5.3. Перенаправление трафика X11
- 10. Литература
- 10.1. Нормативные документы
- 10.2. Дополнительная литература
1. Введение
Протокол SSH используется для организации безопасного входа в удаленную систему (login) и организации иных безопасных служб через сети, не обеспечивающие безопасности. Протокол включает три основных компоненты:
- Протокол транспортного уровня [SSH-TRANS] обеспечивает аутентификацию серверов, конфиденциальность и целостность. Этот протокол может также обеспечивать сжатие информации. Транспортный уровень работает в основном с использованием соединений TCP/IP, но может быть реализован и на базе иных потоков данных с гарантированной доставкой.
- Протокол аутентификации пользователей [SSH-USERAUTH] используется на серверах для проверки полномочий клиентов. Этот протокол работает на основе протокола транспортного уровня.
- Протокол соединений [SSH-CONNECT] обеспечивает мультиплексирование шифрованного туннеля в несколько логических каналов и работает поверх протокола аутентификации пользователей.
Клиент передает один запрос на обслуживание в процессе организации защищенного соединения на транспортном уровне. Другой запрос на обслуживание передается после успешной проверки полномочий клиента. Такое решение обеспечивает возможность создания новых протоколов и их совместного использования с перечисленными выше протоколами.
Протокол соединений обеспечивает каналы, которые могут использоваться для решения целого ряда задач. Обеспечиваются стандартные методы для организации защищенных shell-сессий и перенаправления («туннелирования») произвольных портов TCP/IP и соединений X11.